Endpoint Detection & Response - Testen der Malware-Erkennung

  • nP
  • jD

Testen der Malware-Erkennung mit der EICAR-Testdatei

Die EICAR-Testdatei (European Institute for Computer Anti-Virus Research) kann verwendet werden, um Kandji EDR zu testen, um sicherzustellen, dass sie korrekt bereitgestellt wurde und ordnungsgemäß funktioniert. Die EICAR-Testdatei ist eine nicht bösartige Datei, die sicher auf jeden Mac heruntergeladen werden kann. Weitere Informationen zur Anti-Malware-Testdatei finden Sie auf der EICAR-Webseite zur Anti-Malware-Testdatei .

Bevor Sie beginnen

  • Stellen Sie sicher, dass die Avert Library Item erfolgreich auf das Gerät angewendet wurde, indem Sie bestätigen, dass neben dem Avert Library Item auf der Registerkarte Status eines Gerätedatensatzes ein grüner Punkt sichtbar ist.

Option 1: Laden Sie die EICAR-Testdatei mit dem Terminal herunter

  1. Öffnen Sie das Terminal.

  2. Führen Sie den folgenden Befehl aus, um die EICAR-Testdatei direkt von EICAR auf Ihren Desktop herunterzuladen:

    curl "https://secure.eicar.org/eicar.com" -s -o ~/Desktop/eicar_test

Option 2: Manuelles Erstellen der EICAR-Testdatei

  1. Erstellen Sie eine neue leere Textdatei mit einem Texteditor wie VS Code oder Sublime Text.

  2. Kopieren Sie die folgenden zwei Zeilen und fügen Sie sie in die Textdatei ein:

    #!X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

  3. Speichern Sie die Textdatei auf dem Desktop Ihres Mac und benennen Sie die Datei eicar_test

Die 68-stellige Zeichenfolge in Schritt #2 ist die Zeichenfolge, die sich in der EICAR-Testdatei befindet.

Erwartetes Ergebnis

Der Modus für den Status von Schadsoftware in der Library Item "Abwehr" auf "Erkennen" festgelegt

Kandji EDR erkennt die EICAR-Testdatei und meldet sie mit dem Status "Nicht unter Quarantäne" im Bedrohungsmodul in der linken Navigationsleiste und auf der Registerkarte "Bedrohungen" eines Geräteeintrags.

Der Modus für den Status von Schadsoftware in der Library Item "Schützen" ist auf "Schützen" festgelegt

Kandji EDR erkennt die EICAR-Testdatei und isoliert sie automatisch innerhalb von Sekunden, nachdem Sie der Datei das ausführbare Bit hinzugefügt haben, und wird mit dem Status "Isoliert" im Bedrohungsmodul in der linken Navigationsleiste und auf der Registerkarte "Bedrohungen" eines Gerätedatensatzes gemeldet.